Перейти к содержанию

Разбор полета WM-трояна

vidocq89

Автор vidocq89
в Технологии и техника

 Поделиться

Рекомендуемые сообщения

vidocq89

vidocq89

Опубликовано
Опубликовано (изменено)

Эту тему я решился создать прочитав вот это ...

По-моему описание Зайцева недостаточно и мало о чем рассказывает...

Я взял 2 трояна (обычные их версии) и потестил немного - вот, что получилось...

НО сразу оговорюсь и отвечу тем, кто может заорать, что мол "каспер это все и так палит" - так вот не палил он один из этих троянов - авторы по мере того как каспер начинает палить трой - переписывает или чистит его, + и самому это можно делать - никто не запрещает...

 

 

В этой статье пойдет речь о небольшом "ковырянии" двух WM-троянов (Webmoney-троян) сидящих в системе и заменяющих в буфере обмена копируемые номера кошельков на нужные нам)....

Оба эти трояна вы, естественно можете найти на нашем форуме и скачать...

 

Начнем ковырять WM-троян от Дамрая.

(ниже мы видим скрин билдера)

646784c67982.png

 

 

Делаем билд cb.exe и запускаем его...

 

Смотрим, что он делает в системе с помощью тулз для просмотра что в системе делается с реестром и файлами, и находим в логах все, что относиться к нашему файлу:

(после символов "//" идут мои комментарии к действиям трояна)

 

cb.exe:912	CreateKey HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	SUCCESS	Access: 0x2000000 	
cb.exe:912	QueryValue HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\VStorage		
//создаем запись в реестре с таким значением - так мы попали в автозагрузку (будем грузиться вместе с explorer.exe)

 

На этом общение трояна с реестром не заканчивается - он еще повторно обращается к вышеуказанным ключам, пишет туда и считывает оттуда, также делает вот такое:

 

cb.exe:912	CreateKey	HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3}\InProcServer32	NOT FOUND		
cb.exe:912	CreateKey	HKCR\CLSID	SUCCESS	Access: 0x2000000 	
cb.exe:912	CreateKey	HKCR\CLSID\{3E59933D-89FE-4C4D-9335-D1E75042D5D3}	SUCCESS	Access: 0x2000000

 

Но это нам это в принципе не интересно и не столь нужно (сможем обойтись и без этого).

Теперь узнаем, что же он делает с файлами, т.е нужно узнать какие файлы и где он создает.

Смотрим на результаты:

 

cb.exe:912	CREATE	C:\WINDOWS\system32\swmclip.dll	SUCCESS	Options: OverwriteIf  Access: 0012019F	
//создаем файл
cb.exe:912	OPEN	C:\WINDOWS\system32\	SUCCESS	Options: Open Directory  Access: 00100000
//открываем	
cb.exe:912	WRITE 	C:\WINDOWS\system32\swmclip.dll	SUCCESS	Offset: 0 Length: 4096
//пишем
cb.exe:912	CLOSE	C:\WINDOWS\system32\swmclip.dll	SUCCESS	
//закрываем, сохраняем...

 

 

Вот это уже куда более познавательно и интересно)) Тут мы все видим и нам все понятно.

 

Теперь посмотрим как на этот троян уже установленный в системе реагируют такие распространенные

антивирусные утилиты (утилиты помогающие человеку в борьбе с зловредами), как AVZ и HiJackThis.

Просканируем ими нашу систему и посмотрим, что они нам выдадут по этому поводу. Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал"):

3. Сканирование дисков

C:\WINDOWS\system32\swmclip.dll >>> подозрение на Trojan-Spy.Win32.Webmoner.ce ( 04D1F94E 01F881CB 00000000 00000000 4096)

Просканировано файлов: 4983, извлечено из архивов: 593, найдено вредоносных программ 0, подозрений - 1

Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером.

 

 

Прежде чем показать вам результат от HiJackThis хочеться оговориться - весь результат HiJackThis выдает в виде текстового файла в котором просто перечислены запущенные процессы, работающие dll, адреса программ сидящих в автозагрузке и т.д и уже ВАМ из этого списка нужно самому найти то, что вы не устанавливали и не представляете, что это такое (хотя есть и онлайн анализатор логов этой программы). Теперь наконец взглянем на результат от HiJackThis (то, что не по теме "обрезано"):

 

O21 - SSODL: VStorage - {3E59933D-89FE-4C4D-9335-D1E75042D5D3} - swmclip.dll (file missing)
//нашел то, что не от системы в загрузке с эксплорером

вот то, что "не мое" - вот наш троянчик)

 

Теперь посмотрим на саму эту dll'ку: найдем наш файлик system32\swmclip.dll и откромем его или блокнотом/редактором

и поищем что-нибудь интересное. Самое интересное, что нам бросаеться в глаза, это номера наших кошельков в

незашифрованном виде, вот они:

Z443543000000 R645756000000 E645645600000 U267846300000

(при создании трояна мною были заменены последние 5 цифр нулями просто)

 

Увидев всякие OpenClipboard, SetClipboardData можно сразу предположить,

что троян общаеться с буфером обмена (хотя мы это и так знаем)).

 

Теперь можно думаю поговорить и о том как от этого трояна избавиться:

В принципе можно просто удалить этот файлик и на этом и успокоиться - ничего ниоткуда троян подгружать на его место не будет, но для спокойствия можно и почистить реестр - удалить то, что он туда внес.

 

Рассмотрим WM-троян от DIEL'a

(видим на скрине его билдер)

10657ebc5e6b.png

 

Создаем билд и запускаем его: запускаем Ntmon.exe.

И первое, что нам бросается в глаза, это то, что мы в Диспетчере задач видим запущенный процесс ntmon.exe от имени пользователя - вот, как говориться, мы и спалились...

Но, что еще хуже - так это то, что это висит NTmon.exe, который мы сами же и запустили, а не какой-то файл из глубины системной папки...

Но это еще только пол-дела, теперь по примеру первого трояна также изучим и этот, т.к мы это уже делали, то сейчас я это сделаю побыстрее и без лишних комментариев.

 

Начнем с того, что узнаем, какую гадость он пишет в реестр:

 

regedit.exe:908	CreateKey	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	SUCCESS	Access: 0x2000000 	
regedit.exe:908	SetValue	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscache	SUCCESS	"C:\Documents and Settings\Юзер\UserData\Ntmon.exe"	
regedit.exe:908	CloseKey	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	SUCCESS		
//видно, что добавляется в автозагрузку не так как предыдущий... 
//причем добавляется в автозапуск он путем запуска рег-файла - создает его в корне диска "С" и запускает

 

С файлами дела обстоят так:

 

149	17:00:24	Ntmon.exe:1008	OPEN	C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe	SUCCESS	Options: Open  Access: Read	
150	17:00:24	Ntmon.exe:1008	CREATE	C:\Documents and Settings\Игорь\UserData\Ntmon.exe	PATH NOT FOUND	Options: OverwriteIf  Access: 00120196	
151	17:00:24	Ntmon.exe:1008	OPEN	C:\Documents and Settings\Юзер\UserData\	NOT FOUND	Options: Open Directory  Access: 00100000	
152	17:00:24	Ntmon.exe:1008	CLOSE	C:\Documents and Settings\Юзер\Рабочий стол\Ntmon.exe	SUCCESS		
//не смогли создать такую папку...странно... файл не был записан

 

 

Иными словами этот троян работать у меня не захотел - сами видите, что в автозагрузку добавиться толком у него не получилось, а запускать каждый раз его руками или добавлять туда его самому я не буду...

Видимо троян понял, что я все равно на такое не поведусь и решил не устанавливаться ко мне в систему...

А жаль...

Если же он сможет все-таки установиться к вам, то я уверен, вы теперь знаете как от него избавиться...

 

Не стоит статью расценивать как нечто, претендующее на что-то - я просто хотел показать тем, кто это не знает, что в деле нападения/защиты далеко не последнюю роль играют "руки".

Об этом не следует забывать ни одной из сторон.

 

PS: статья писалась в ускоренном темпе на коленке и поэтому могут быть неточности и т.д

Изменено пользователем vidocq89
Ig0r

Ig0r

Опубликовано
Опубликовано

Интересно... :) Спасибо. Буду знать как удалять вирус к программе, которую не имею. :) Но все равно интересно.

Максим

Максим

Опубликовано
Опубликовано
По-моему описание Зайцева недостаточно и мало о чем рассказывает...
Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения".
Но прежде чем показать, что они нашли сразу хочеться отметить, что AVZ справилась с этой задачей хуже чем я предполагал - она выдала вот такой результат (ненужное в отчете я просто "обрезал")
AVZ справилась отлично! К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера.
Теперь поясню почему я был немного удивлен таким результатом: т.к троян старый, неизмененный паблик, то я думал, что AVZ задетектит его более уверенно своим файловым сканером.
Троян старый, модификаций много. Какой смысл забивать им базу? Антивирусная утилита - это не антивирус.

 

Подводя итог. Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают.

vidocq89

vidocq89

Опубликовано
  • Автор
Опубликовано

Maxim_VInfo, поспорить я тоже люблю))

поэтому немного поспорю с вами...

 

Олег писал для пользователей. Читается легко, без заумных терминов в отличии от Вашего "творения".

я глубоко уважаю Зайцева Олега, даже не могу сказать, что уважаю за что-то конкретно - я читал вроде все его статьи, что находил и созданные им темы на форумах по безопасности и т.д... но разговор не об этом, видимо вы поняли, что я плохо отнесся к его описанию....нет, почему-же, она очень хорошо соответствует вышеприведенной цитате, НО она в таком случае не совсем в том разделе на вирусинфо - т.е она смотриться не совсем обычно в том контексте (в окружении тем, в которых присутствую эти самые "заумные" термины...

...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей...

(в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..)

:)

 

AVZ справилась отлично!

мне лично очень нравится данная утилита, на варе ее ярлык обязательно на рабочем столе...

 

К слову, "ненужное" в отчете как раз помогает обнаружить то, что прошло мимо сигнатурного сканера.

под ненужным я имел в виду тот стандарт который авз у меня все время выдает на девственно чистой машине с только-что поставленной системой....

(логи авз я все таки читать умею, но что бы подстраховаться - я запускал проверку авз перед установкой вируса и после и сравнил результаты, разность написал в топике)

 

Троян старый, модификаций много.

Тут вы совершенно правы, я брал практически первые вышедшие в широкий свет версии этих троянов. *

( * - звездочка в виду того, что это не совсем так, но это не имеет значения, но для достоверности информации об этом стоит упомянуть - от Диела была версия еще перед этой - но она была типа бета-версией с многими багами и т.д и через 4 дня он обновил ее до представленной вам...хотя и эта далека от совершенства - огромный код, много лишнего в трояне, многое можно было убрать еще до компиляции...написано на скорую руку без старания).

 

Не советую читать Ваше описание начинающим пользователем, кроме очередного запугивания они ни чего не узнают.

прискорбно :)

я старался написать так, что бы было в принципе интересно всем (попихал и чуть-чуть технических подробностей и язык разный использовал - от классического до полуформального и даже картинок понапихал (сделал скрины билдеров) ))

 

но к сожалению ваши последние слова - правда ...

достаточно сравнить эту тему с антивностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева...

Максим

Максим

Опубликовано
Опубликовано
...эту мини-статью я написал как раз для тех, кому интересен данный вид троянов и их души требует каких-либо технических подробностей...

(в принципе в технику можно было и не вчитываться - я постарался наиболее простым языком написать комментарии..)

Зачем тогда столько комментариев? Комментарии усложняют понимание.
но к сожалению ваши последние слова - правда ...

достаточно сравнить эту тему с активностью в этой теме... - в ней тоже инфа про веб-мани трояны)) но там без технических подробностей, примерно как у Олега Зайцева...

Тоже самое. Слишком много "воды". Вы пытаетесь упростить методом усложнения, в результате получается каламбур. Точку зрения пользователей, прочитавших описание хорошо выразил pofigist, см. 2 пост.
  • Согласен 1
vidocq89

vidocq89

Опубликовано
  • Автор
Опубликовано
Вы пытаетесь упростить методом усложнения, в результате получается каламбур

ок. буду учитывать.

 

спасибо за понимание...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Разбор атаки «Операция Триангуляция» | Блог Касперского
      Автор KL FC Bot
      На проходящей в Гамбурге 37-ой конференции Chaos Communication Congress (37C3) наши эксперты из Kaspersky Global Research and Analysis Team (GReAT) Борис Ларин, Леонид Безвершенко и Григорий Кучерин выступили с докладом Operation Triangulation: what you get when attack iPhones of researchers (Операция «Триангуляция»: что произойдет, если атаковать iPhone специалистов по безопасности). Они подробно описали цепочку атаки и рассказали о деталях использования всех задействованных в ней уязвимостей, в том числе впервые подробно рассмотрели эксплуатацию аппаратной уязвимости CVE-2023-38606.
      Мы не будем пересказывать все подробности этого доклада — технические детали можно найти в посте на блоге Securelist или узнать из записи доклада на официальном сайте конференции — а здесь кратко опишем основные моменты.
       
      Посмотреть статью полностью
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • orpham
      троян .kwx8
      Автор orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • Maksum
      [РЕШЕНО] Трояны
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
×
×
  • Создать...